Chcesz korzystać z MailChimp do wysyłki mailingu? Zastanawiasz się, czy możesz zrobić to zgodnie z polskim prawem, skoro za obsługę odpowiedzialna jest spółka z USA? Co na to GIODO i ustawa o ochronie danych osobowych? Zapraszam na rozwiązanie zagadki.
Spis treści
Pamiętaj o podstawach
Zanim opowiem o problemie z MailChimp, pozwól, że przypomnę ci, o co musisz zadbać, jeśli chcesz realizować mailing zgodnie z prawem:
- uzyskaj zgodę na wysyłkę mailingu od użytkownika (np. poprzez checkbox),
- wdroż stosowne procedury ochrony danych zbieranych od użytkowników,
- zgłoś zbiór danych do GIODO.
To trzy podstawowe kroki ku legalnemu mailingowi. Nie omawiam ich szczegółowo, bo dzisiaj skupiam się na wątpliwości związanej z MailChimp.
Wątpliwość ta ujawnia się na etapie wdrożenia procedur ochrony danych. Mianowicie, ustawa o ochronie danych osobowych przewiduje obowiązek zawarcia umowy powierzenia przetwarzania danych, jeśli zbierane dane przetwarzane są przez inny podmiot niż ten, który je od użytkownika zbiera.
Umowa powierzenia przetwarzania danych z MailChimp
Zbierając dane osobowe, stajesz się administratorem danych. Korzystając z MailChimp, powierzasz spółce przetwarzanie zebranych przez siebie danych osobowych. Dane te zapisywane są w bazach amerykańskiej spółki.
Dlatego, by być w zgodzie z przepisami polskiej ustawy o ochronie danych osobowych, musisz zawrzeć z MailChimp umowę powierzenia przetwarzania danych. Tutaj pojawia się kluczowe dla dzisiejszego wpisu pytanie – czy zawarcie takiej umowy z MailChimp w ogóle jest możliwe?
Odpowiedź brzmi, że tak – jest to możliwe. Mimo, że umowa z MailChimp zawierana jest w sposób zautomatyzowany poprzez rejestrację konta użytkownika i akceptację regulaminu, to spółka daje możliwość zawarcia dodatkowej umowy związanej z przetwarzaniem danych osobowych.
Wystarczy skontaktować się z obsługą i poprosić o ten dodatkowy dokument. Ja (sam korzystam z MailChimp) zrobiłem to za pomocą formularza kontaktowego dostępnego na stronie. W odpowiedzi otrzymałem plik .pdf ze zeskanowanym podpisem osoby reprezentującej spółkę i zostałem poproszony o wypełnienie dokumentu moimi danymi, podpisanie i odesłanie skanu. Na koniec, MailChimp potwierdził wymianę dokumentów.
W ten sposób zawarłem umowę powierzenia przetwarzania danych. Powstaje jednak pytanie, czy taka umowa jest wystarczająca z punktu widzenia polskiej ustawy? Przytoczony wcześniej art. 31 mówi o umowie zawartej na piśmie. W prawie polskim, dla zachowania formy pisemnej konieczne jest złożenie własnoręcznego podpisu lub podpisanie dokumentu przy użyciu certyfikatu kwalifikowanego. Zatem umowa ze zeskanowanym podpisem nie jest umową zawartą na piśmie.
Czy to oznacza, że umowa jest nieważna? Nie. W przepisie brak zastrzeżenia formy pisemnej pod rygorem nieważności, zatem należy przyjąć, że umowę można zawrzeć w dowolnej formie, a brak zachowania formy pisemnej wywołuje jedynie skutki w zakresie postępowania dowodowego.
§ 1. Jeżeli ustawa zastrzega dla czynności prawnej formę pisemną, czynność dokonana bez zachowania zastrzeżonej formy jest nieważna tylko wtedy, gdy ustawa przewiduje rygor nieważności.
Art. 74 Kodeksu cywilnego
§ 1. Zastrzeżenie formy pisemnej bez rygoru nieważności ma ten skutek, że w razie niezachowania zastrzeżonej formy nie jest w sporze dopuszczalny dowód ze świadków ani dowód z przesłuchania stron na fakt dokonania czynności. Przepisu tego nie stosuje się, gdy zachowanie formy pisemnej jest zastrzeżone jedynie dla wywołania określonych skutków czynności prawnej.
Zatem dobra wiadomość jest taka, że można w opisany powyżej sposób skutecznie zawrzeć umowę powierzenia danych osobowych z MailChimp.
Przekazywanie danych do państwa trzeciego?
Jest jeszcze jedna wątpliwość związana z MailChimp i polską ustawą o ochronie danych osobowych. Mianowicie, Stany Zjednoczone, jako kraj nienależący do Unii Europejskiej, stanowią państwo trzecie w rozumieniu art. 47 ustawy.
Co więcej, Stany Zjednoczone zalicza się do jednego z państw trzecich nie dających gwarancji odpowiedniego zabezpieczenia danych osobowych. Pytanie, co teraz?
Szczęśliwie, MailChimp przystąpił do programu Safe Harbour. Mimo, że USA nie dają gwarancji odpowiedniego zabezpieczenia danych osobowych, to uczestnik programu Safe Harbour taką gwarancję daje. Oznacza to, że przekazywanie danych z Polski do MailChimp jest zgodne z prawem.
Podsumowanie
Korzystanie z MailChimp jest legalne i zgodne z polskimi przepisami. Wystarczy zawrzeć umowę powierzenia przetwarzania danych poprzez wymianę zeskanowanych dokumentów, a następnie zaznaczyć fakt powierzenia i zawarcia umowy w zgłoszeniu rejestracyjnym zbioru kierowanym do GIODO.
Dodatkowa pomoc
Tutaj dowiesz się wszystkiego o prawnych aspektach newslettera:
A tutaj dowiesz się, jak wysyłać legalne maile:
Więcej o ochronie danych osobowych przeczytasz tutaj:
- Dane osobowe w sklepie internetowym, jak nad nimi zapanować?
- Umowa powierzenia przetwarzania danych osobowych, kiedy potrzebna?
>> Zdjęcie wykorzystane w nagłówku autorstwa Staffage z kaboompics.com.